Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Se disponi di un dispositivo che non è nell'elenco precedente di esempi, questa sezione descrive i requisiti che il dispositivo deve soddisfare per poterlo utilizzare per stabilire una connessione Site-to-Site VPN.
La configurazione del dispositivo gateway del cliente comprende quattro parti principali. I seguenti simboli rappresentano ciascuna parte della configurazione.
|
Associazione di sicurezza Internet key exchange (IKE). Questo è necessario per scambiare le chiavi utilizzate per stabilire l'associazione IPsec di sicurezza. |
|
IPsec associazione di sicurezza. Consente di gestire la crittografia, l'autenticazione e così via del tunnel. |
|
Interfaccia tunnel. Riceve il traffico in uscita e in entrata dal tunnel. |
|
(Facoltativo) Peer secondo il protocollo BGP (Border Gateway Protocol). Per dispositivi che utilizzano BGP, consente di scambiare route tra il dispositivo gateway del cliente e il gateway virtuale privato. |
Nella tabella seguente vengono elencate i requisiti del dispositivo gateway del cliente, l'RFC (per riferimento) correlato e i commenti sui requisiti.
Ogni connessione VPN è composta da due tunnel distinti. Ogni tunnel contiene un'associazione di sicurezza IKE, un'associazione IPsec di sicurezza e un peering BGP. Sei limitato a una coppia di associazione di sicurezza (SA) univoca per tunnel (una in entrata e una in uscita), e quindi due coppie SA uniche in totale per due tunnel (quattro). SAs Alcuni dispositivi utilizzano una VPN basata su policy e creano fino a voci ACL. SAs Pertanto, potrebbe essere necessario consolidare le regole e filtrare in modo da non consentire traffico non desiderato.
Per impostazione predefinita, il tunnel VPN si verifica quando viene generato il traffico e la negoziazione IKE viene avviata dal lato della connessione VPN. È possibile configurare la connessione VPN per avviare invece la negoziazione IKE dal lato della AWS connessione. Per ulteriori informazioni, consulta AWS Site-to-Site VPN opzioni di avvio del tunnel.
Gli endpoint VPN supportano l'emissione nuova chiave e possono avviare rinegoziazioni quando la fase 1 sta per scadere se il dispositivo gateway del cliente non ha inviato alcun traffico di rinegoziazione.
| Requisito | RFC | Commenti |
|---|---|---|
|
Stabilire l'associazione di sicurezza IKE
|
L'associazione di sicurezza IKE viene stabilita innanzitutto tra il gateway privato virtuale e il dispositivo gateway del cliente utilizzando una chiave precondivisa o un certificato privato che utilizza come autenticatore. AWS Private Certificate Authority Al termine, IKE negozia una chiave effimera per rendere sicuri i messaggi IKE futuri. Ci deve essere un accordo completo tra i parametri, inclusi i parametri di crittografia e autenticazione. Quando crei una connessione VPN in AWS, puoi specificare la tua chiave già condivisa per ogni tunnel oppure puoi lasciare AWS che ne generi una per te. In alternativa, puoi specificare il certificato privato AWS Private Certificate Authority da utilizzare per il dispositivo gateway del cliente. Per ulteriori informazioni sulla configurazione dei tunnel VPN, consulta Opzioni di tunnel per la tua AWS Site-to-Site VPN connessione. Sono supportate le seguenti versioni: IKEv1 e IKEv2. Supportiamo la modalità principale solo con IKEv1. Il servizio Site-to-Site VPN è una soluzione basata sul percorso. Se usi una configurazione basata su policy, devi limitare la configurazione a un'unica associazione di sicurezza (SA). |
|
|
Stabilisci associazioni IPsec di sicurezza in modalità Tunnel
|
Utilizzando la chiave temporanea IKE, vengono stabilite delle chiavi tra il gateway privato virtuale e il dispositivo gateway del cliente per formare un'associazione di IPsec sicurezza (SA). Il traffico tra i gateway è crittografato e decrittografato utilizzando questa SA. Le chiavi temporanee utilizzate per crittografare il traffico all'interno della IPsec SA vengono ruotate automaticamente da IKE su base regolare per garantire la riservatezza delle comunicazioni. |
|
|
Utilizzare la funzione di crittografia a 128 bit o 256 bit AES |
La funzione di crittografia viene utilizzata per garantire la privacy sia per IKE che per le associazioni di sicurezza. IPsec |
|
|
Utilizzare la funzione di hashing SHA-1 o SHA-2 (256) |
Questa funzione di hashing viene utilizzata per autenticare sia IKE che le associazioni di sicurezza. IPsec |
|
|
Utilizzare Diffie-Hellman Perfect Forward Secrecy. |
IKE utilizza Diffie-Hellman per stabilire chiavi effimere per rendere sicura tutta la comunicazione tra i dispositivi gateway del cliente e i gateway virtuali privati. Sono supportati i seguenti gruppi:
|
|
|
(Connessioni VPN con routing dinamico) Utilizza Dead Peer Detection IPsec |
Dead Peer Detection consente ai dispositivi VPN di identificare rapidamente quando una condizione di rete impedisce la consegna di pacchetti su Internet. Quando ciò si verifica, i gateway eliminano le associazioni di sicurezza e tentano di creare nuove associazioni. Durante questo processo, se possibile, viene utilizzato il tunnel alternativo IPsec . |
|
|
(Connessioni VPN instradate dinamicamente) Vincolare tunnel a interfaccia logica (VPN basata su route)
|
Nessuno |
Il dispositivo deve essere in grado di collegare il IPsec tunnel a un'interfaccia logica. L'interfaccia logica contiene un indirizzo IP utilizzato per stabilire il peering BGP al gateway virtuale privato. Questa interfaccia logica non deve eseguire ulteriore incapsulamento (ad esempio, GRE o IP in IP). L'interfaccia deve Essere impostata su un'unità massima di trasmissione (MTU) di 1399 byte. |
|
(Connessioni VPN instradate dinamicamente) Stabilire peering BGP
|
BGP viene utilizzato per scambiare route tra i dispositivi gateway del cliente e il gateway virtuale privato per dispositivi che utilizzano BGP. Tutto il traffico BGP è crittografato e trasmesso tramite la IPsec Security Association. BGP è necessario affinché entrambi i gateway si scambiino i prefissi IP raggiungibili tramite la SA. IPsec |
Una connessione AWS VPN non supporta Path MTU Discovery (RFC 1191).
Se tra il dispositivo gateway del cliente e Internet è presente un firewall, consulta Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente.
